實現(xiàn)數(shù)字簽名的方法及設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信系統(tǒng)的信息安全領(lǐng)域,尤其涉及實現(xiàn)數(shù)字簽名的方法及設(shè)備。
【背景技術(shù)】
[0002] 公共報警系統(tǒng)(PWS:PublicWarningSystem)用于對人類的生命和財產(chǎn)造成損 失的自然災(zāi)害或人為事故進行警報的系統(tǒng)。在自然災(zāi)害,如洪水、颶風,或人為事故,如化 學(xué)氣體泄漏、爆炸威脅、核威脅的情況下,PWS可作為對現(xiàn)有廣播通信系統(tǒng)的一種補充。PWS 服務(wù)由電信運營商提供給用戶,其內(nèi)容可以由報警信息供應(yīng)部門(warningnotification provider)提供。當某些災(zāi)害事件或事故發(fā)生時,運營商或報警信息供應(yīng)部門產(chǎn)生警報消息 (warningnotification),該消息由運營商使用其網(wǎng)絡(luò)發(fā)送給用戶。
[0003]由于發(fā)布一些警報消息例如地震海嘯等告警消息將可能引發(fā)大規(guī)模的恐慌,所以 對這類警報消息的安全性要求也較高。目前,3GPP的標準規(guī)定的安全機制的做法是:對警 報消息進行數(shù)字簽名,數(shù)字簽名可以用來保證警報消息的完整性,確保警報消息來自于一 個可信的源。進行了數(shù)字簽名的警報消息被廣播給用戶設(shè)備(UE:USerEquipment)。UE將 驗證廣播消息中的"數(shù)字簽名"。如果驗證通過,UE會向用戶發(fā)起警報,并把警報消息的內(nèi) 容發(fā)給用戶;如果驗證失敗,UE會通知用戶驗證失敗,并停止向用戶報警。
[0004] 在3GPP中實現(xiàn)上述PWS告警的過程中,3GPP標準中只是定義了可以用數(shù)字簽名來 保護告警消息的完整性,但是并沒有具體定義數(shù)字簽名是如何實現(xiàn)的。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的實施例提供一種實現(xiàn)數(shù)字簽名的方法及設(shè)備,具體定義了數(shù)字簽名是如 何實現(xiàn)的。
[0006] 為達到上述目的,本發(fā)明的實施例采用如下技術(shù)方案:
[0007] -種實現(xiàn)數(shù)字簽名的方法,應(yīng)用于公共報警系統(tǒng)中,該方法包括:用戶設(shè)備接收并 保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰;或者,所述用戶設(shè) 備接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰;所述用戶設(shè)備根據(jù)數(shù) 字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證。
[0008] -種實現(xiàn)數(shù)字簽名的方法,應(yīng)用于公共報警系統(tǒng)中,該方法包括:核心網(wǎng)節(jié)點接收 用戶設(shè)備發(fā)送的包含公鑰標識的請求消息;所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標 識與本地保存的數(shù)字簽名公鑰所對應(yīng)的公鑰標識不相同;所述核心網(wǎng)節(jié)點通過非接入層消 息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應(yīng)的公鑰標識。
[0009] -種實現(xiàn)數(shù)字簽名的方法,應(yīng)用于公共報警系統(tǒng)中,該方法包括:接入網(wǎng)節(jié)點確認 用戶設(shè)備已完成網(wǎng)絡(luò)注冊和安全認證;或者,確認本地保存的數(shù)字簽名公鑰已更新;所述 接入網(wǎng)節(jié)點通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰。
[0010] 一種用戶設(shè)備,應(yīng)用于公共報警系統(tǒng)中,該設(shè)備包括:接收模塊,用于接收并保存 核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰,或者,接收并保存接入 網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰;驗證模塊,用于根據(jù)數(shù)字簽名算法及所 述接收模塊接收到的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證。
[0011] 一種核心網(wǎng)節(jié)點設(shè)備,應(yīng)用于公共報警系統(tǒng)中,該設(shè)備包括:接收模塊,用于接收 用戶設(shè)備發(fā)送的包含公鑰標識的請求消息;第一確定模塊,用于確定所述接收模塊所接收 的請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應(yīng)的公鑰標識不相同;發(fā)送模 塊,用于當?shù)谝淮_定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應(yīng)的 公鑰標識不相同時,通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述 數(shù)字簽名公鑰及其對應(yīng)的公鑰標識。
[0012] 一種接入網(wǎng)節(jié)點設(shè)備,應(yīng)用于公共報警系統(tǒng)中,該設(shè)備包括:確認模塊,用于確認 用戶設(shè)備已完成網(wǎng)絡(luò)注冊和安全認證,或者確認本地保存的所述數(shù)字簽名公鑰已更新;發(fā) 送模塊,在所述確認模塊確認所述用戶設(shè)備已完成網(wǎng)絡(luò)注冊和安全認證,或者確認本地保 存的數(shù)字簽名公鑰已更新之后,通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字 簽名公鑰。
[0013] 本發(fā)明實施例提供的實現(xiàn)數(shù)字簽名的方法及設(shè)備中,利用核心網(wǎng)節(jié)點通過非接入 層消息或接入層消息向用戶設(shè)備下發(fā)最新的數(shù)字簽名公鑰,或者利用接入網(wǎng)節(jié)點通過第二 接入層消息向用戶設(shè)備下發(fā)最新的數(shù)字簽名公鑰,同時,用戶設(shè)備保存該最新的數(shù)字簽名 公鑰,且用戶設(shè)備通過數(shù)字簽名算法及在本地保存的數(shù)字簽名公鑰,可實現(xiàn)對接收到的告 警消息中的數(shù)字簽名進行驗證,本發(fā)明實施例詳細定義了數(shù)字簽名公鑰的下發(fā)方法,彌補 了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷。
【附圖說明】
[0014] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖。
[0015] 圖1為本發(fā)明實施例1實現(xiàn)數(shù)字簽名的方法的流程圖;
[0016] 圖2為本發(fā)明實施例1用戶設(shè)備的方框圖;
[0017] 圖3為本發(fā)明實施例2實現(xiàn)數(shù)字簽名的方法的流程圖;
[0018] 圖4為本發(fā)明實施例2核心網(wǎng)節(jié)點設(shè)備的方框圖;
[0019]圖5為現(xiàn)有技術(shù)中安全參數(shù)的數(shù)據(jù)結(jié)構(gòu);
[0020] 圖6為本發(fā)明實施例4安全參數(shù)的數(shù)據(jù)結(jié)構(gòu);
[0021]圖7為本發(fā)明實施例4 一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法流 程圖;
[0022] 圖8為本發(fā)明實施例4另一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法 流程圖;
[0023]圖9為本發(fā)明實施例4又一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法 流程圖;
[0024]圖10為本發(fā)明實施例4再一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方 法流程圖;
[0025]圖11為本發(fā)明實施例4又一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方 法流程圖;
[0026] 圖12為本發(fā)明實施例6-種用戶設(shè)備的結(jié)構(gòu)圖;
[0027] 圖13為本發(fā)明實施例6-種核心網(wǎng)節(jié)點的結(jié)構(gòu)圖;
[0028] 圖14a~14c為本發(fā)明實施例3的LTE、UTMS、GSM系統(tǒng)中接入網(wǎng)節(jié)點下發(fā)數(shù)字簽 名公鑰的流程圖;
[0029] 圖15為本發(fā)明實施例6-種接入網(wǎng)節(jié)點設(shè)備的結(jié)構(gòu)圖。
【具體實施方式】
[0030] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于 本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍。
[0031] 實施例1
[0032] 如圖1所示,應(yīng)用于公共報警系統(tǒng)中的實現(xiàn)數(shù)字簽名的方法包括以下步驟。
[0033] 101、用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù) 字簽名公鑰,或者,所述用戶設(shè)備接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字 簽名公鑰。
[0034] 具體地,用3GPP系統(tǒng)中實現(xiàn)PWS時,數(shù)字簽名由但不限于小區(qū)廣播中心(Cell BroadcastCenter,簡稱為:CBC)或小區(qū)廣播實體(CellBroadcastEntity,簡稱為:CBE) 對告警消息中警報消息的明文采用數(shù)字簽名私鑰及數(shù)字簽名算法進行加密而獲得。該數(shù)字 簽名攜帶在該告警消息中。其中,小區(qū)廣播中心和小區(qū)廣播實體統(tǒng)稱為小區(qū)廣播設(shè)備。
[0035] 核心網(wǎng)節(jié)點或者接入網(wǎng)節(jié)點可通過已有的消息流程,從CBC或者CBE上獲取對該 數(shù)字簽名進行驗證的最新的數(shù)字簽名公鑰,也可以由網(wǎng)絡(luò)管理員將該最新的數(shù)字簽名公鑰 手工配置在接入網(wǎng)節(jié)點上。
[0036] 隨后,UE就能接收到由核心網(wǎng)節(jié)點下發(fā)的非接入層消息(即NAS消息)或接入層 消息(即AS消息),該消息中攜帶有上述最新的數(shù)字簽名公鑰,或者UE能接收到由接入網(wǎng) 節(jié)點下發(fā)的第二接入層消息,該消息中攜帶有上述最新的數(shù)字簽名公鑰,UE接收到該最新 的數(shù)字簽名公鑰后,將其保存在本地。
[0037]當然,在3GPP系統(tǒng)中,UE是從核心網(wǎng)節(jié)點最新的獲取數(shù)字簽名公鑰,還是從接入 網(wǎng)節(jié)點獲取最新的數(shù)字簽名公鑰,可以在系統(tǒng)建立時指定,使得系統(tǒng)在運行過程中從指定 的節(jié)點按指定的方式獲取最新的數(shù)字簽名公鑰。
[0038]在3GPP提出的LTE(LongTermEvolution:長期演進)中,核心網(wǎng)節(jié)點為MME(移 動管理實體,MobilityManagementEntity),接入網(wǎng)節(jié)點為eNB(演進的基站,Evolution NodeB);在 3GPP提出的UMTS(UniversalMobileTelecommunicationsSystem:通用移 動通信系統(tǒng))中,核心網(wǎng)節(jié)點為SGSN(SERVICINGGPRSSUPPORTNODE,GPRS服務(wù)支持節(jié) 點),接入網(wǎng)節(jié)點為RNC(無線網(wǎng)絡(luò)控制器,RadioNetworkController);在3GPP提出的 GSM(GlobalSystemforMobileCommunications:全球移動通信系統(tǒng))中,核心網(wǎng)節(jié)點 為MSC(MobileSwitchingCenter,移動交換中心),接入網(wǎng)節(jié)點為BSC(基站控制器,Base StationController)〇
[0039] 需要說明的是:"第二接入層消息"在本發(fā)明實施例中用于指代接入網(wǎng)節(jié)點發(fā)送的 接入層消息。"第二"是為了和核心網(wǎng)節(jié)點發(fā)送的接入層消息在名稱上區(qū)分開,不作為對本 發(fā)明的限定。
[0040] 102、所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消 息中的數(shù)字簽名進行驗證。
[0041] 具體地,UE在接收到告警消息后,需要對告警消息的數(shù)字簽名進行驗證,以確定該 消息的完整性及可靠性。通過執(zhí)行步驟l〇l,UE在本地保存了數(shù)字簽名公鑰,該數(shù)字簽名公 鑰與數(shù)字簽名在加密時使用的私鑰是一對密鑰。在進行驗證時,UE使用數(shù)字簽名在加密時 使用的數(shù)字簽名算法及本地保存的數(shù)字簽名公鑰對數(shù)字簽名進行驗證,驗證通過則說明該 警報消息真實可靠,接下來UE會向用戶發(fā)起警報;若沒有驗證通過,則說明該警報消息不 可靠或已遭攻擊,UE會取消向用戶發(fā)起警報。
[0042] 數(shù)字簽名算法可通過本領(lǐng)域技術(shù)人員所知的任何一種方法通知給UE,使UE能使 用該算法對數(shù)字簽名進行驗證,該數(shù)字簽名的通知方法可以為下述實施例2中描述的預(yù)先 配置在用戶設(shè)備中或者用戶設(shè)備根據(jù)告警消息中的數(shù)字簽名算法標識進行選擇得到,也可 為其它方法。
[0043]本發(fā)明實施例提供的實現(xiàn)數(shù)字簽名的方法中,核心網(wǎng)節(jié)點通過非接入層消息或接 入層消息向用戶設(shè)備下發(fā)數(shù)字簽名公鑰,或者接入網(wǎng)節(jié)點通過第二接入層消息向用戶設(shè)備 下發(fā)數(shù)字簽名公鑰,同時,用戶設(shè)備保存該數(shù)字簽名公鑰,且用戶設(shè)備通過數(shù)字簽名算法及 本地保存的數(shù)字簽名公鑰,可實現(xiàn)對接收到的告警消息中的數(shù)字簽名進行驗證,本發(fā)明詳 細地定義了數(shù)字簽名公鑰的下發(fā)方法,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法 的缺陷。
[0044] 本實施例還提供了一種應(yīng)用于公共報警系統(tǒng)中的用戶設(shè)備,如圖2所示,該設(shè)備 包括接收模塊21及驗證模塊22。其中,接收模塊21用于接收并保存核心網(wǎng)節(jié)點通過非接 入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰,或者,接收并保存接入網(wǎng)節(jié)點通過第二接入 層消息下發(fā)的數(shù)字簽名公鑰;驗證模塊22用于根據(jù)數(shù)字簽名算法及所述接收模塊接收到 的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證。
[0045] 上述各模塊對應(yīng)的方法已于上述進行了詳細描述,在此不再贅述。
[0046] 本發(fā)明實施例提供的用戶設(shè)備由于利用了接收模塊,因此保存了核心網(wǎng)節(jié)點通過 非接入層消息或接入層消息向用戶設(shè)備下發(fā)的數(shù)字簽名公鑰,或者保存了接入網(wǎng)節(jié)點通過 第二接入層消息向用戶設(shè)備下發(fā)的數(shù)字簽名公鑰,且驗證模塊通過數(shù)字簽名算法及接收模 塊中接收到的數(shù)字簽名公鑰,可實現(xiàn)對接收到的告警消息中的數(shù)字簽名進行驗證,本發(fā)明 實施例詳細地定義了數(shù)字簽名公鑰的下發(fā)方法,彌補了 3GPP標準中未詳細定義數(shù)字簽名 實現(xiàn)方法的缺陷。
[0047] 實施例2
[0048] 如圖3所示,應(yīng)用于公共報警系統(tǒng)中的實現(xiàn)數(shù)字簽名的方法包括以下步驟。
[0049] 301、核心網(wǎng)節(jié)點接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息。
[0050] 具體地,用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息,該請求消息中包含有用戶設(shè)備在